В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Эти угрозы стали результатом сближения ряда основных факторов, а именно:
Широчайшее распространение и низкая стоимость съемных носителей данных позволяют легко решить бизнес-задачу передачи документов партнерам, создать персональные и коллективные резервные хранилища ценных данных с рабочих компьютеров – но при этом емкость современных накопителей такова, что зачастую пользователи загружают на них все подряд – попросту содержимое всего персонального компьютера, – не задумываясь о последствиях.
Впрочем, традиционный метод хранения и передачи данных на флеш-дисках теряет свою актуальность с точки зрения "продвинутого пользователя" (но не службы ИБ) в силу высокой доступности облачных сервисов файлового обмена, прозрачно встраивающихся в операционную систему или доступных в любом браузере. Все облачные хранилища предлагают возможность загрузки документов практически неограниченного размера с легким способом предоставления доступа третьим лицам к опубликованным файлам, что в сочетании с фактором бесплатности сервиса и легкой регистрацией делает их весьма удобными для использования в бизнес-процессах, предполагающих обмен данными. С точки зрения же службы ИБ любой облачный сервис представляет из себя огромную угрозу безопасности, поскольку размещен за пределами возможностей контроля.
Как правило, речь идет не о том, чтобы повально запрещать сетевые сервисы, потому что "не положено", – но о том, чтобы гибко контролировать коммуникации сотрудников через высокотехнологичные программы и сервисы, которые на самом деле чаще всего повышают эффективность бизнес-процессов и производительность сотрудников. Контроль сетевых коммуникаций – понятие широкое, включающее в себя не только возможность селективной блокировки тех сервисов, использование которых категорически недопустимо по внутренним правилам компании, но и возможность событийного протоколирования, включая создание точных копий передаваемых пользователями файлов и данных, и возможность тревожного оповещения службы ИБ при попытке нарушения политик информационной безопасности.
Наиболее эффективным способом обеспечения безопасности данных на корпоративных компьютерах сегодня является применение специализированных средств предотвращения утечек данных (Data Leak Prevention). DLP-решения призваны устранять "человеческий фактор" и пресекать нарушения дисциплины, предотвращая либо фиксируя утечки данных с компьютера для максимально возможного числа их сценариев. Электронная почта и почтовые Web-сервисы, службы мгновенных сообщений, социальные сети и форумы, облачные файловые хранилища, FTP-серверы – все эти блага сети Интернет могут в любой момент оказаться каналом утечки корпоративной информации, разглашение которой может быть нежелательным или даже опасным для бизнеса. Не стоит сбрасывать со счетов традиционные локальные каналы – устройства хранения данных, принтеры и интерфейсы передачи данных, синхронизацию со смартфонами – те потенциальные каналы утечки, которые в принципе невозможно защитить сетецентричными DLP-решениями. Эффективное DLP-решение должно контролировать широкий спектр каналов сетевых коммуникаций и локальных каналов и устройств, при этом эффективность DLP-решения определяется гибкостью и возможностью обеспечить успешное сочетание интересов бизнеса и безопасности – допустимость использования ресурсов против контроля их использования.
На рынке DLP-решений, предназначенных для предотвращения утечек данных из корпоративных ИС, заслуженной популярностью пользуется программный комплекс российской разработки DeviceLock DLP Suite 8. Он обеспечивает гибкий контроль пользователей и предотвращение утечек через локальные порты и устройства, сетевые сервисы и протоколы, а также автоматическое сканирование компьютеров и корпоративных сетевых ресурсов в целях выявления нарушений политик безопасного хранения документов и данных. Важная особенность архитектуры комплекса DeviceLock DLP – перехват всех потенциальных каналов утечки непосредственно на контролируемом компьютере как источнике возникновения угрозы, что позволяет обеспечить эффективный контроль мобильных сотрудников.
С помощью комплекса DeviceLock DLP служба ИБ может реализовать разнообразные сценарии противодействия утечкам корпоративных данных через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и мониторинга, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп; ограничения, основанные на анализе содержимого передаваемых документов и данных, в том числе с помощью технологии автоматического распознавания текста в рисунках (например, сканах документов); теневое копирование только представляющих интерес для службы ИБ файлов и данных; тревожные оповещения по ключевым инцидентам и многое другое.
При внедрении DLP-системы на предприятии стоит помнить и о классическом правиле – самый простой сценарий утечки наиболее вероятен. Это означает, что даже при повсеместном внедрении DLP-системы вполне реалистичен сценарий, когда контроль сетевых сервисов или устройств хранения данных для некоторых сотрудников будет ослаблен, например в силу предполагаемого отсутствия доступа к конфиденциальным документам, – но способы получения доступа всегда найдутся хотя бы за счет применения методов социальной инженерии. Практически невозможно предсказать, какие ухищрения может использовать инсайдер, желающий использовать корпоративные документы за пределами офиса.
Именно поэтому в составе комплексных DLP-решений наряду с системами защиты от утечек данных при доступе к ним (Data-in-Use DLP) и их передаче (Data-in-Motion DLP) исключительно важно применение технологий Content Discovery – поиска и предотвращения утечки хранимых данных (Data-at-Rest DLP) – в целях своевременного выявления файлов и документов, несанкционированно хранимых сотрудниками на рабочих станциях и сетевых хранилищах, и выполнение задачи превентивной защиты от утечки данных еще до того, как инсайдер совершит попытку передачи или несанкционированного выноса конфиденциальных данных за пределы корпоративной инфраструктуры.
Решение DeviceLock Discovery, входящее в состав Device-Lock DLP Suite как самостоятельный функциональный компонент, позволяет контролировать местоположение и уровень защищенности конфиденциальных корпоративных данных, хранимых в ИТ-инфраструктуре, в целях проактивного предотвращения их утечек и обеспечения соответствия корпоративным стандартам безопасности и требованиям отраслевых и государственных регуляторов. Посредством автоматического сканирования данных, размещенных на рабочих станциях Windows внутри и вне корпоративной сети, внутренних сетевых ресурсах и в системах хранения данных, DeviceLock Discovery обнаруживает документы и файлы, содержимое которых нарушает политику безопасного хранения корпоративных данных, и осуществляет с ними различные опциональные превентивно-защитные действия, заданные в DLP-политике.
Предоставляемая DeviceLock DLP возможность обеспечить избирательный контроль различных каналов утечки в сочетании с контролем хранимых на рабочих станциях конфиденциальных документов открывает организациям безопасный путь для разрешения своим сотрудникам контролируемо использовать различные устройства и сетевые сервисы в целях повышения эффективности работы без угрозы утечки данных, вне зависимости от места работы сотрудников – в офисе, в пути или дома, с корпоративного компьютера или ноутбука либо планшета.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2015